인터넷 서비스 개발에 널리 사용되는 공개 소프트웨어(SW)에 보안 취약점이 드러나 파장이 커지고 있다. 일각에서는 “컴퓨터 역사상 최악의 약점이 발견됐다”는 평가도 나온다. 정보기술(IT) 업체들은 고객사 지원을 위해 비상 경계 태세에 돌입했다. 문제를 일으킨 SW ‘Log4j’의 활용 범위가 워낙 넓어 피해가 더 커질 수 있다는 전망이다.

○24시간 지원, 솔루션 업데이트 이어져

티맥스소프트는 지난 15일부터 자사 통합 미들웨어 플랫폼 ‘하이퍼프레임’의 관리 시스템 ‘IMS 포탈’ 운영을 실시간 대응 체계로 격상했다. 기술지원 조직을 동원해 고객사 오픈소스 활용 과정을 점검하고, 원격 및 방문 지원도 24시간 체제로 끌어올렸다.

LG CNS는 지난 14일부터 도움이 필요한 기업에 전화상담을 해 주는 ‘헬프데스크’를 운영하고 있다. 보안, 클라우드, 인프라 등 분야 직원들이 비상근무체제로 전환해 고객사의 업데이트를 돕고 있다. 앞서 LG CNS는 공격자 의심 IP 차단, 웹 애플리케이션 방화벽(WAF) 설정 등 Log4j 보안 가이드라인을 배포했다.

더존비즈온은 유지·보수 서비스 가입 여부와 관계없이 긴급 업데이트를 지원했다. 원래 유지·보수 업데이트는 별도 서비스 가입자에게만 제공하지만 대승적 차원에서 나섰다. 지용구 더존비즈온 솔루션사업부문 대표는 “현대 컴퓨팅 역사상 가장 큰 취약점이 발견된 만큼 선제적 조치를 하고 있다”고 말했다.

보안 기업들도 행동에 나섰다. 스패로우는 자사의 SCA솔루션 기반 긴급 진단 서비스를 제공하고 있다. 오픈소스 분석에 최적화돼 Log4j 취약점 방비가 용이하다는 설명이다. KMS테크놀로지도 자사의 오픈소스 라이선스 및 보안 취약점 관리 솔루션 ‘블랙덕’으로 자동 탐지 서비스를 지원한다고 밝혔다. 이스트소프트의 보안 자회사 이스트시큐리티는 무료 점검 도구를 배포했다. 회사 측은 “단순 파일명 스캔 기반의 점검 도구가 아니라 프로그램 내부를 뜯어볼 수 있는 솔루션”이라고 전했다.

○업데이트가 끝 아니다

Log4j 취약점이 처음 노출된 MS의 인기 게임 ‘마인크래프트’.
Log4j 취약점이 처음 노출된 MS의 인기 게임 ‘마인크래프트’.
Log4j 취약점이 처음 노출된 곳은 마이크로소프트(MS)의 인기 게임 ‘마인크래프트’를 통해서다. Log4j는 프로그래밍 언어 자바(JAVA)를 기반으로 하고 있는데, 마인크래프트의 자바 버전에서 특정 메시지를 입력하면 상대 컴퓨터를 조종할 수 있는 현상이 일어났다. Log4j는 프로그램 개발 기록(로그)을 쉽게 관리할 수 있는 라이브러리(프로그램 기능 집합체)인데, 오픈소스라는 특성상 대다수 기업이 직간접적으로 활용했기 때문에 세계적으로 사태가 커졌다. MS는 지난 10일 긴급 업데이트로 진화에 나섰다.

기업을 대상으로 취약점 업데이트를 독려하고 있는 과학기술정보통신부는 지난 16일 주요 기업 정보보호최고책임자(CISO) 긴급 간담회를 열어 방어 전략을 재차 논의했다. 정부가 급박한 움직임에 나서는 이유도 Log4j의 범용성 때문이다. 과기정통부가 지난 12일 정보통신·금융·의료 등 주요 기반 시설 147개를 대상으로 점검했더니 30곳에서 Log4j를 사용한 것으로 나타났다. 글로벌 보안 기업 맨디언트의 존 헐트퀴스트 부사장은 “중국과 이란 해커들이 해당 취약점을 이용 중인 것으로 추정된다”며 “취약점이 공개되기 훨씬 이전부터 공격을 준비해온 것으로 보이는 만큼 지속적인 주의가 필요하다”고 전했다.

이시은 기자 see@hankyung.com